다음을 통해 공유

액세스 제어를 위해 프라이빗 엔드포인트 사용

  • 아티클

Azure Web PubSub 리소스에 프라이빗 엔드포인트를 사용하면 VNet(가상 네트워크)의 클라이언트가 프라이빗 링크를 통해 데이터에 안전하게 액세스할 수 있습니다. 프라이빗 엔드포인트는 Web PubSub 리소스에 대한 VNet 주소 공간의 IP 주소를 사용합니다. VNet의 클라이언트와 Web PubSub 리소스 사이의 네트워크 트래픽은 Microsoft 네트워크의 프라이빗 링크를 가로지르며 공용 인터넷에서의 노출을 방지합니다.

Web PubSub 리소스의 프라이빗 엔드포인트를 사용하면 다음에 도움이 됩니다.

  • 네트워크 액세스 제어를 사용하여 Web PubSub에 대한 퍼블릭 엔드포인트의 모든 연결을 차단함으로써 Web PubSub 리소스를 보호합니다.
  • VNet에서의 데이터 반출을 차단하도록 하여 VNet 보안을 강화합니다.
  • VPN 또는 프라이빗 피어링에 Azure ExpressRoute를 사용하여 VNet에 연결하는 온-프레미스 네트워크에서 Web PubSub에 안전하게 연결합니다.

가상 네트워크에서 프라이빗 엔드포인트 사용

Azure Web PubSub에 대한 프라이빗 엔드포인트 개요를 보여 주는 다이어그램

프라이빗 엔드포인트는 VNet의 Azure 서비스에 대한 특수한 네트워크 인터페이스입니다. Web PubSub 리소스에 프라이빗 엔드포인트를 만들 때 VNet 및 서비스의 클라이언트 간에 보안 연결을 제공합니다. 프라이빗 엔드포인트에는 VNet의 IP 주소 범위 내에서 IP 주소가 할당됩니다. 프라이빗 엔드포인트와 Web PubSub 간의 연결은 보안 프라이빗 링크를 사용합니다.

VNet의 애플리케이션은 프라이빗 엔드포인트를 사용하여 Web PubSub 리소스에 원활하게 연결할 수 있습니다. 애플리케이션은 달리 사용할 수도 있는 동일한 연결 문자열 및 권한 부여 메커니즘을 사용합니다.

프라이빗 엔드포인트는 REST API를 포함하여 Web PubSub 리소스에서 지원하는 모든 프로토콜과 함께 사용할 수 있습니다.

VNet에 Web PubSub 리소스에 대한 프라이빗 엔드포인트를 만들면 승인을 위해 Web PubSub 리소스 소유자에게 동의 요청이 전송됩니다. 프라이빗 엔드포인트를 요청한 사용자가 Web PubSub 리소스의 소유자인 경우 이 동의 요청이 자동으로 승인됩니다.

Azure Portal프라이빗 엔드포인트 탭에서 Web PubSub 리소스에 대한 동의 요청 및 프라이빗 엔드포인트를 관리할 수 있습니다.

프라이빗 엔드포인트를 통해서만 Web PubSub 리소스에 대한 액세스를 제한하려면 퍼블릭 엔드포인트를 통해 액세스를 거부하거나 제어하도록 네트워크 액세스 제어를 설정합니다.

프라이빗 엔드포인트에 연결

프라이빗 엔드포인트를 사용하는 VNet의 클라이언트는 퍼블릭 엔드포인트를 통해 연결하는 클라이언트가 사용하는 Web PubSub 리소스에 대해 동일한 연결 문자열을 사용해야 합니다. DNS(Domain Name System) 확인에 의존하여 프라이빗 링크를 통해 VNet에서 Azure Web PubSub 서비스로 연결을 자동으로 라우팅합니다.

Important

퍼블릭 엔드포인트에 사용하는 것처럼 프라이빗 엔드포인트를 사용하여 Web PubSub에 연결하려면 동일한 연결 문자열을 사용합니다. privatelink 하위 도메인 URL을 사용하여 Web PubSub에 연결하지 마세요.

기본적으로 프라이빗 엔드포인트에 대한 필수 업데이트를 사용하여 VNet에 연결된 프라이빗 DNS 영역을 만듭니다. 자체 DNS 서버를 사용하는 경우 DNS 구성을 추가로 변경해야 할 수 있습니다. 다음 섹션에서는 프라이빗 엔드포인트에 필요한 업데이트에 대해 설명합니다.

프라이빗 엔드포인트용 DNS 변경

프라이빗 엔드포인트를 만들 때 Web PubSub 리소스에 대한 DNS CNAME 리소스 레코드는 privatelink 접두사가 있는 하위 도메인의 별칭으로 업데이트됩니다. 또한 기본적으로 프라이빗 엔드포인트에 대한 DNS A 리소스 레코드를 사용하여 privatelink 하위 도메인에 해당하는 프라이빗 DNS 영역을 만듭니다.

프라이빗 엔드포인트를 사용하여 VNet 외부에서 Web PubSub 리소스 도메인 이름을 확인하면 Web PubSub 리소스의 퍼블릭 엔드포인트로 확인됩니다. 프라이빗 엔드포인트를 호스트하는 VNet에서 확인되면 도메인 이름은 프라이빗 엔드포인트의 IP 주소로 확인됩니다.

위에 설명된 예시에서 프라이빗 엔드포인트를 호스트하는 VNet 외부에서 확인되는 경우 Web PubSub 리소스 sample에 대한 DNS 리소스 레코드는 다음과 같습니다.

속성 타입
sample.webpubsub.azure.com CNAME sample.privatelink.webpubsub.azure.com
sample.privatelink.webpubsub.azure.com A <Web PubSub 공용 IP 주소>

네트워크 액세스 제어를 사용하여 퍼블릭 엔드포인트를 통해 VNet 외부의 클라이언트에 대한 액세스를 거부하거나 제어할 수 있습니다.

프라이빗 엔드포인트를 호스트하는 VNet의 클라이언트가 Web PubSub 리소스 sample을 확인할 때 DNS 리소스 레코드는 다음 예제와 유사합니다.

속성 타입
sample.webpubsub.azure.com CNAME sample.privatelink.webpubsub.azure.com
sample.privatelink.webpubsub.azure.com A 10.1.1.5

이 방법을 사용하면 프라이빗 엔드포인트를 호스트하는 VNet의 클라이언트와 VNet 외부의 클라이언트에 동일한 연결 문자열을 사용하여 Web PubSub 서비스에 액세스할 수 있습니다.

네트워크에서 사용자 지정 DNS 서버를 사용하는 경우 클라이언트는 프라이빗 엔드포인트 IP 주소에 대한 Web PubSub 리소스 엔드포인트의 FQDN(정규화된 도메인 이름)을 확인할 수 있어야 합니다. 프라이빗 링크 하위 도메인을 VNet의 프라이빗 DNS 영역에 위임하도록 DNS 서버를 구성하거나 프라이빗 엔드포인트 IP 주소를 사용하여 sample.privatelink.webpubsub.azure.com에 대한 A 레코드를 구성해야 합니다.

사용자 지정 또는 온-프레미스 DNS 서버를 사용하는 경우 privatelink 하위 도메인의 Web PubSub 리소스 이름을 프라이빗 엔드포인트 IP 주소로 확인하도록 DNS 서버를 구성해야 합니다. privatelink 하위 도메인을 VNet의 프라이빗 DNS 영역에 위임하거나 DNS 서버에서 DNS 영역을 구성한 다음, DNS A 레코드를 추가하여 이를 수행할 수 있습니다.

Web PubSub 리소스의 프라이빗 엔드포인트에 대한 DNS 영역 이름에 privatelink.webpubsub.azure.com을 사용하는 것이 좋습니다.

프라이빗 엔드포인트 지원 목적으로 자체 DNS 서버를 구성하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.

프라이빗 엔드포인트 만들기

다음 섹션에서는 프라이빗 엔드포인트 및 Web PubSub의 새 인스턴스를 만드는 방법과 Web PubSub의 기존 인스턴스에 대한 프라이빗 엔드포인트를 만드는 방법을 설명합니다.

Web PubSub의 새 인스턴스에서 프라이빗 엔드포인트 만들기

  1. Azure Portal에서 Azure Web PubSub의 새 인스턴스를 만듭니다. 네트워킹 탭에서 연결 방법으로 프라이빗 엔드포인트를 선택합니다.

    Web PubSub 리소스를 만들 때 네트워킹 탭을 보여 주는 스크린샷

  2. 추가를 선택합니다. 구독, 리소스 그룹 이름, Azure 지역 및 새 프라이빗 엔드포인트의 이름을 선택하거나 입력합니다. 사용할 가상 네트워크 및 서브넷을 선택합니다.

  3. 검토 + 만들기를 선택합니다.

기존 Web PubSub 리소스의 프라이빗 엔드포인트를 만듭니다.

  1. Azure Portal에서 Web PubSub 리소스로 이동합니다.

  2. 설정의 왼쪽 메뉴에서 프라이빗 엔드포인트 연결을 선택합니다.

  3. 프라이빗 엔드포인트를 선택합니다.

  4. 새 프라이빗 엔드포인트에 대한 구독, 리소스 그룹, 리소스 이름, 지역에 대한 값을 선택하거나 입력합니다.

  5. 대상 Web PubSub 리소스를 선택합니다.

  6. 대상 가상 네트워크를 선택합니다.

  7. 검토 + 만들기를 선택합니다.

가격 책정

가격 책정에 대한 자세한 내용은 Azure Private Link 가격 책정을 참조하세요.

알려진 문제

Web PubSub에서 프라이빗 엔드포인트에 관련된 다음과 같은 알려진 문제를 염두에 두어야 합니다.

무료 계층 제약 조건

무료 계층을 사용하여 만든 Azure Web PubSub 인스턴스는 프라이빗 엔드포인트와 통합할 수 없습니다.

프라이빗 엔드포인트가 있는 VNet의 클라이언트에 대한 액세스 제약 조건

기존 프라이빗 엔드포인트를 사용하는 VNet의 클라이언트는 프라이빗 엔드포인트가 있는 다른 Web PubSub 인스턴스에 액세스할 때 제약 조건이 있습니다. 예를 들어 VNet N1에 Web PubSub 인스턴스 W1의 프라이빗 엔드포인트가 있다고 하겠습니다. Web PubSub 인스턴스 W2의 VNet N2에 프라이빗 엔드포인트가 있으면 VNet N1의 클라이언트는 프라이빗 엔드포인트를 사용하여 Web PubSub 인스턴스 W2에도 액세스할 수 있습니다.

Web PubSub 인스턴스 W2에 프라이빗 엔드포인트가 없으면 VNet N1의 클라이언트는 프라이빗 엔드포인트 없이 해당 계정에서 Web PubSub 리소스에 액세스할 수 있습니다. 이 제약 조건은 Web PubSub 인스턴스 W2가 프라이빗 엔드포인트를 만들 때 수행되는 DNS 변경의 결과입니다.